Privacyverklaring Tulpen Zorg B.V.

Binnen Tulpen Zorg B.V. nemen wij uw privacy serieus en gaan zorgvuldig om met uw persoonsgegevens. Niet alleen omdat wij voldoen aan de (Europese) privacyregelgeving maar ook vanuit zorg(rechtelijk) perspectief. U kunt erop vertrouwen dat wij uw privacy respecteren en op de juiste manier omgaan met uw persoonsgegevens. Deze Privacyverklaring omschrijft welke persoonsgegevens wij van u verwerken en voor welke doeleinden wij dat doen.

Algemeen

Wij ververwerken uw persoonsgegevens omdat u gebruik maakt van onze diensten en/of omdat u deze zelf aan ons verstrekt. Bij de verwerking van persoonsgegevens houden wij ons aan de eisen uit de privacywetgeving: de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) (AVG).

Verwerkingsverantwoordelijke

Verwerkingsverantwoordelijke voor de verwerking van de persoonsgegevens is:

J. Dekker – Directeur

Soorten persoonsgegevens

Afhankelijk van de diensten en functionaliteiten die u gebruikt, kunnen wij de volgende persoonsgegevens verwerken:

  1. Naam, voornamen, voorletters, Burgerservicenummer (BSN), geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer, e-mail adres en soortgelijke voor communicatie benodigde gegevens.
  2. Van de ouders, curatoren, mentoren, bewindvoerders, huisarts, behandelaar enz. van cliënten; naam, telefoonnummer en e-mailadres.
  3. Van de gezins- of familieleden van de cliënt alsmede anderen die over het welzijn en de gezondheid van de cliënt worden ingelicht; naam, telefoonnummer en e-mailadres.
  4. Gegevens betreffende de gezondheidstoestand van de cliënt;
  5. Andere bijzondere persoonsgegevens die noodzakelijk zijn voor  een goede begeleiding of verzorging van de cliënt;
  6. Gegevens betreffende de gevolgde en te volgen behandeling van de cliënt alsmede de verstrekte medicamenten of voorzieningen;
  7. Gegevens betreffende het berekenen, vastleggen en innen van de vergoeding;
  8. Gegevens betreffende de verzekering van de cliënt (indien van toepassing);
  9. Andere gegevens noodzakelijk met het oog op de uitoefening van ons beroep.

Doeleinden van verwerking

Wij kunnen bovenstaande gegevens verwerken voor een of meer van de volgende doeleinden:

  • Het uitoefenen van het beroep in de individuele gezondheidszorg;
  • Het berekenen, vastleggen en innen van de vergoeding voor de behandeling, waaronder begrepen het in handen van derden stellen van vorderingen;
  • Het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
  • Het verrichten van wetenschappelijk of statistisch onderzoek;
  • Uw persoonsgegevens worden niet voor andere doeleinden gebruikt dan de doeleinden waarvoor u de gegevens aan ons heeft verstrekt, tenzij wij hiervoor uw toestemming ontvangen of dit anderszins ingevolge wettelijke bepalingen en/of kwaliteitsregels verplicht of toegestaan is.

Verwerkingsgrondslag

Persoonsgegevens worden verwerkt op basis van één van de onderstaande grondslagen:

  • Het aangaan en uitvoeren van een zorgovereenkomst;
  • Het vrijwaren van een vitaal belang van de cliënt, zoals in noodgevallen;
  • Het behartigen van een gerechtvaardigd belang van Tulpen Zorg B.V. of van een derde (bijvoorbeeld de bedrijfscontinuïteit);
  • Noodzaak om een wettelijke verplichting na te komen;
  • Toestemming van de cliënt.

Verstrekking aan derden

Wij geven de verstrekte gegevens uitsluitend door aan derde partijen, als dat noodzakelijk is voor de zorgverlening en aanverwante diensten. Zo heeft Tulpen Zorg B.V. als organisatie de verplichting om gegevens over benodigde en geleverde zorg te delen met de zorgverzekeraars en gemeenten. Deze uitwisseling van gegevens vindt plaats via beveiligde verbindingen.

In bijzondere situaties kan Tulpen Zorg B.V. ook aan andere instanties verplicht worden om gegevens over u te verstrekken; denk aan de kantonrechter in verband met de verantwoording over beheerde gelden of in geval van een justitieel onderzoek. 

Voor haar bedrijfsvoering maakt Tulpen Zorg B.V. gebruik van verscheidene computer- en softwareprogramma’s. De leveranciers van de programma’s ondersteunen en onderhouden die en daardoor zijn de persoonsgegevens in die programma’s ook toegankelijk voor medewerkers van die leveranciers. We sluiten dan een verwerkersovereenkomst waarmee we de leverancier verplichten op een even zorgvuldige manier met persoonsgegevens om te gaan als Tulpen Zorg B.V. zelf.

Voor het intern gebruik van persoonsgegevens geldt dat enkel medewerkers die op basis van hun functie bevoegd zijn de persoonsgegevens te verwerken, hiertoe zijn geautoriseerd. Enkel zij hebben toegang tot de verschillende systemen die door Tulpen Zorg B.V. worden gebruikt.

Wij delen gegevens dus alleen met derden wanneer dat noodzakelijk is voor het uitvoeren van de behandelingsovereenkomst en om te voldoen aan een eventuele wettelijke verplichting. Wanneer wij  aan anderen gegevens verstrekken doen wij dit alleen nadat we toestemming hebben verkregen. Wij verstrekken geen persoonsgegevens aan landen buiten de Europese Economische Ruimte (“EER”).

Beveiligen en bewaren

Wij nemen de bescherming van uw gegevens serieus en nemen passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging van uw gegevens tegen te gaan. Ondanks deze vergaande inspanningen kunnen wij geen absolute garantie geven voor de bescherming tegen alle bedreigingen. Als er een incident met uw persoonsgegevens heeft plaatsgevonden met waarschijnlijk een hoog risico voor u, zullen wij u daarover zo spoedig mogelijk informeren. Als u zelf de indruk hebt dat uw persoonsgegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan contact op via Tulpen Zorg B.V.

Wij bewaren de gegevens niet langer dan noodzakelijk. Dat wil zeggen dat wij de gegevens bewaren zolang dat nodig is om de gevraagde zorg en/of andere dienst te leveren. Uitgezonderd hiervan zijn de gegevens die wij langer moeten bewaren omdat de wet ons dit verplicht. Zo is Tulpen Zorg B.V. op grond van de wet verplicht uw medisch dossier 15 jaar te bewaren of langer indien dit nodig is met het oog op de goede gezondheidszorg.

Websites van derden

Deze verklaring is niet van toepassing op websites van derden die door middel van links met onze website zijn verbonden (zoals social media). Hiervoor gelden de privacyverklaring en cookieverklaring van deze partijen. Wij raden u aan deze te raadplegen. Wij hebben hier verder geen invloed op.  

Inzage, wijzigen, wissen/vernietiging van gegevens of beperking van de verwerking

U kunt contact opnemen met Tulpen Zorg B.V. voor een verzoek tot inzage, wijziging of verwijdering van uw gegevens, om bezwaar te maken tegen (verdere) verwerking, voor het intrekken van toestemming of als u wilt dat wij uw gegevens overdragen aan uzelf of een nieuwe behandelaar / andere organisatie.

Tulpen Zorg B.V. stelt alles in het werk om te voldoen aan uw rechten op basis van de AVG. Het kan echter voorkomen dat deze rechten in conflict zijn met andere wettelijke bepalingen, zoals de Wet op de Geneeskundige Behandelingsovereenkomst. Mocht Tulpen Zorg B.V. om die reden niet aan één van de genoemde verzoeken kunnen voldoen, dan wordt u hiervan schriftelijk op de hoogte gesteld.

Autoriteit Persoonsgegevens

Natuurlijk helpen wij u graag verder als u klachten hebt over de manier waarop wij met uw persoonsgegevens omgaan. U kunt dan schriftelijk contact opnemen met de functionaris gegevensbescherming via administratie@tulpenzorg.nl. Mocht u er desondanks toch niet met ons uitkomen, dan heeft u op grond van de privacywetgeving ook het recht om een klacht in te dienen bij de privacy toezichthouder, de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl)  

Wijzigingen in deze Privacyverklaring

Wij kunnen deze Privacyverklaring van tijd tot tijd wijzigen. Wijzigingen zullen op onze website worden gepubliceerd.

Privacy persoonsgevens

In het kader van de Europese richtlijn dient er sprake te zijn van een gelijk beschermingsniveau van persoonsgegevens binnen alle lidstaten. Dit houdt verband met het vrije grensoverschrijdende verkeer van personen en dus ook persoonsgegevens.

Binnen Nederland is dit geregeld door de Algemene Verordening Gegevensbescherming (hierna te noemen AVG) Deze wet heeft betrekking op de verwerking van persoonsgegevens. Dit wil zeggen op alle handelingen die met betrekking tot een persoonsgegeven worden verricht, vanaf het verzamelen van de gegevens tot en met de vernietiging.

Onder persoonsgegeven wordt verstaan elke informatie betreffende een identificeerbaar, natuurlijk persoon.

Het doel van dit privacyreglement is:

  • aan te geven om welke persoonsgegevens, geldend voor AVG, het gaat binnen de organisatie
  • aan te geven op welke wijze deze persoonsgegevens, geldend voor AVG, verwerkt worden
  • aan te geven welke personen en/of organisaties betrokken zijn bij de verwerking van de persoonsgegevens
  • aan te geven op welke wijze de organisatie voldoet aan de informatieplicht
  • aan te geven op welke wijze de persoonsgegevens worden beveiligd

Het toepassingsgebied van dit privacyreglement is:

Verwerking persoonsgegevens van cliënten en personen werkzaam voor de Tulpen Zorg (zowel digitaal als in fysieke documenten).

De persoonsregistratie wordt slechts aangelegd indien dit noodzakelijk is voor een goede vervulling van de taak van de beheerder.

De beheerder van de persoonsregistratie zal niet meer gegevens in de registratie opnemen dan voor het doel van de persoonsregistratie noodzakelijk is.

Cliënten en personen werkzaam in opdracht van Tulpen Zorg B.V. (hierna te noemen TULPEN ZORG) worden vooraf altijd geïnformeerd over welke gegevens met welk doel worden verwerkt door TULPEN ZORG. Toestemming met de verwerking van de persoonsgegevens is geregeld in de contracten die cliënten en/of personen werkzaam voor TULPEN ZORG voor aanvang begeleiding/behandeling of werkzaamheden ondertekenen.

In het verwerkingsregister zijn alle gegevens die verwerkt worden door TULPEN ZORG en/of derden opgenomen. De functionaris gegevensbescherming is verantwoordelijk voor het actueel houden van dit register.

Interne en externe dienstverleners die werken met en/of inzage hebben in persoonsgegevens worden verzocht een schriftelijke verklaring op te stellen op welke wijze zij beveiligingsmaatregelen hebben genomen ten aanzien van deze persoonsgegevens (verwerkingsovereenkomst). In deze verwerkingsovereenkomst dienen een geheimhoudingsclausule, voorwaarden inschakelen sub-bewerkers, beveiligingsmaatregelen verwerker, regeling aansprakelijkheid en verantwoordelijkheden met betrekking tot het melden van datalekken te zijn opgenomen. Na goedkeuring en ondertekening archiveert de opdrachtgever een ondertekend exemplaar van deze overeenkomst.

Privacy omgeving

Met betrekking tot de privacy van de omgeving van cliënten en personen werkzaam binnen TULPEN ZORG zijn afspraken hierover vastgelegd in diverse documenten als o.a. sleutelbeheer, respect voor elkaar.

2. Definities

  • Verantwoordelijke

is de formeel juridisch aansprakelijke rechtspersoon

  • Beheerder

is de persoon die verantwoordelijk is voor de feitelijke verwerking van de gegevens

  • Betrokkene

is de persoon van wie gegevens worden verwerkt

  • Verwerker

een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed

  • Verwerkingsovereenkomst

de overeenkomst tussen verantwoordelijke en bewerker, waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan.

  • Derden

degenen aan wie buiten de organisatie gegevens worden verstrekt

  • Gebruikers

is degene die geautoriseerd is gegevens in de persoonsregistratie in te voeren en/of te wijzigen, dan wel kennis te nemen van persoonsregistraties

  • Persoonsgegeven

een gegeven dat herleidbaar is tot een individueel natuurlijk persoon

  • Persoonsregistratie

een samenhangende verzameling van op verschillende personen betrekking hebbende gegevens. Het gaat om gegevens die in het kader van zorg- en/of dienstverlening zijn verzameld.

  • Verstrekken van gegevens uit persoonsregistratie

het bekend maken of ter beschikking stellen van persoonsgegevens. Het betreft persoonsgegevens die geheel of grotendeels steunen op gegevens opgenomen in de persoonsregistratie.

  • Grondslag

de reden van een persoonsregistratie. Persoonsgegevens mogen alleen verwerkt worden wanneer dit noodzakelijk is op basis van een in de wet genoemde grondslag.

  • Doel

datgene wat beoogd wordt met een persoonsregistratie. Persoonsgegevens worden verwerkt in overeenstemming met het vastgestelde doel.

  • Datalek

als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen. Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.

3. Algemeen

Opgenomen gegevens

De persoonsregistraties kunnen ten hoogste de volgende gegevens categorieën bevatten:

  • personalia- en identificatiegegevens
  • financiële- en administratieve gegevens
  • medische- en verpleegkundige gegevens
  • zorginhoudelijke gegevens

Informatieplicht

Belangrijk uitgangspunt van de wet is, dat de betrokkene helderheid wordt geboden over de verwerking van zijn persoonsgegevens.

De verantwoordelijke is dan ook verplicht voorafgaand aan het verzamelen van persoonsgegevens betrokkene te informeren over:

-zijn identiteit;

-voor welk doel of doeleinden de gegevens worden verzameld.

Deze informatie plicht is opgenomen in de zorgovereenkomst die cliënt tekent voordat hij/zij zorg afneemt van TULPEN ZORG.

Bescherming digitale gegevens

Digitale persoonsgegevens zijn beschermd door:

  • inlogcode en wachtwoord
  • rechtentoekenning in mappenstructuur en software applicaties voor registraties personeel en/of cliënten.
  • back-ups externe opslag
  • afspraken met de verwerkers/beheerders van het systeem (verwerkingsovereenkomst)
  • datalekken worden binnen 72 uur vanaf het moment constatering gemeld bij de toezichthouder.

(https://autoriteitpersoonsgegevens.nl/).

Meldplicht datalekken

Een datalek wil zeggen dat persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen. Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.

In de keten van verwerkers zijn de werkwijzen/verantwoordelijkheden met betrekking tot datalekken in de verwerkingsovereenkomst met verwerker vastgelegd.

Vernietiging van opgenomen gegevens

De geregistreerde heeft het recht te verzoeken om vernietiging van, tot zijn persoon herleidbare, gegevens.

Daartoe dient hij een schriftelijk verzoek in bij de beheerder. De beheerder vernietigt de gegevens binnen een half jaar na het verzoek van de geregistreerde tenzij redelijkerwijs aannemelijk is dat de bewaring op grond van een wettelijk voorschrift vereist is.

Kennisgeving

Cliënt en medewerkers worden voor aanvang begeleiding/behandeling/dienstverband/contract geïnformeerd over hun rechten en plichten rondom bescherming persoonsgegevens.

Rechten en plichten

Recht om te worden vergeten en om gegevens te laten wissen

Het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Naast het recht om de organisatie te vragen persoonsgegevens te verwijderen kan ook geëist worden dat de organisatie verwijderingen doorgeeft aan alle andere organisaties die deze gegevens van de organisatie hebben gekregen.

Klachtrecht

Indien er een klacht is over het gebruik van persoonsgegevens is het streven dat dit in onderling overleg met betrokkenen wordt opgelost.

Als de klacht niet in onderling overleg kan worden opgelost kan de klager dit melden bij de Autoriteit Persoonsgegevens of naar de rechter gaan.

Recht op informatie

De verantwoordelijke is verplicht voorafgaand aan het verzamelen van persoonsgegevens betrokkene te informeren over:

-zijn identiteit;

-voor welk doel of doeleinden de gegevens worden verzameld.

Inzagerecht

Het recht om de organisatie te vragen of deze persoonsgegevens heeft vastgelegd en zo ja,

welke. Er hoeft geen reden gegeven te worden voor een inzageverzoek.

Het recht op inzage betreft alleen inzage in iemands eigen gegevens.

Werkaantekeningen vallen niet onder het inzagerecht indien ze alleen worden gebruikt als geheugensteuntje (werkaantekeningen). Worden de aantekeningen opgeslagen in het dossier of verstrekt aan anderen dan heeft degene over wie het gaat ook recht op inzage in deze aantekeningen.

Recht op dataportabiliteit

Onder bepaalde voorwaarden kunnen van de organisatie de persoonsgegevens in een standaardformaat opgevraagd worden. Dit heet het recht op dataportabiliteit. Er kan zelfs geëist worden dat de organisatie de persoonsgegevens direct doorstuurt aan een nieuwe dienstverlener, als dat (technisch) mogelijk is.

Recht op correctie en verwijdering

Het recht om de organisatie te vragen persoonsgegevens te verbeteren, aan te vullen, te verwijderen

of af te schermen.

Het correctierecht is niet bedoeld voor het corrigeren van professionele indrukken, meningen en

conclusies waarmee iemand het niet eens is, voor zover deze ter zake doen. Wel mag diegene van de

organisatie verwachten dat deze in ieder geval zijn schriftelijke mening toevoegt aan het dossier.

Dat kan vooral een oplossing bieden bij situaties waarbij het om niet objectief vast te stellen feiten

gaat.

Recht van verzet

Het recht om de organisatie te vragen de persoonsgegevens niet te gebruiken.

  1. Wie bezwaar heeft tegen het gebruik van zijn gegevens voor commerciële doeleinden, kan hiertegen verzet aantekenen. Dit verzet wordt altijd gerespecteerd.
  2. Verzet kan ook aangetekend worden vanwege bijzondere persoonlijke omstandigheden. In dit geval worden redenen van het verzet besproken met de organisatie.


Verstrekking van gegevens

Binnen de organisatie van de beheerder kunnen persoonsgegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk, aan degenen die rechtstreeks betrokken zijn bij de actuele zorg- of dienstverlening aan de geregistreerde. Dit tenzij de geregistreerde kenbaar heeft gemaakt hiertegen bezwaar te hebben.

Buiten de organisatie van de beheerder kunnen persoongegevens worden verstrekt, voor zover voor hun taakuitoefening noodzakelijk, aan:

  • rechtstreeks betrokkenen bij de actuele zorg- of dienstverlening aan geregistreerde (tenzij geregistreerde kenbaar heeft gemaakt hiertegen bezwaar te hebben)
  • degenen die krachtens de Gezondheidswet belast zijn met het staatstoezicht op de volksgezondheid.
  • overige personen die bij of krachtens een wettelijke regeling bevoegd zijn informatie in te winnen.

Indien persoonsgegevens zijn geanonimiseerd zodat zij niet tot individuele personen herleidbaar zijn, kan de beheerder beslissen deze te verstrekken ten behoeve van wetenschappelijk onderzoek en statistiek.

Persoonsgegevens ten behoeve van wetenschappelijk onderzoek kunnen alleen dan zonder toestemming van de geregistreerde worden verstrekt indien:

  • het vragen van gerichte toestemming in redelijkheid niet mogelijk is
  • het onderzoek algemeen belang dient
  • het onderzoek niet zonder betreffende gegevens kan worden uitgevoerd
  • de persoonlijke levenssfeer van geregistreerde niet wordt geschaad en vaststaat dat het onderzoek niet in de vorm van geregistreerde herleidbare gegevens zal worden gepresenteerd
  • het onderzoek wordt verricht volgens een, op de onderzoeker betrekking hebbende, gedragscode

Toegang tot persoonsgegevens

Toegang tot de persoonsgegevens hebben:

  • direct bij de zorg- of dienstverlening betrokken
  • administrateur(s)
  • beheerder en bewerker voor zover dit in het kader van het beheer en bewerking noodzakelijk is

In het verwerkingsregister wordt per gegevensverwerking aangegeven wie toegang heeft tot de persoonsgegevens.